S-gruppens ägarkunds- och kundregister


DATASKYDDSBESKRIVNING (fr.o.m. 25.5.2018)
Europeiska unionens allmänna dataskyddsförordning (EU) 2016/679, artiklarna 12, 13, 14 och 19

 

  S-gruppens ägarkunds- och kundregister

 

1. Personuppgiftsansvarig

Centrallaget för Handelslagen i Finland SOK
Postadress: PB 1, 00088 S-GRUPPEN
S-gruppens Ägarkundstjänst: 010 76 5858
Besöksadress: Flemingsgatan 34, 00510 Helsingfors
FO-nummer 0116323-1


2. Dataskyddsombudets kontaktuppgifter

tietosuojavastaava@sok.fi


3. Person som handlägger registerärenden

Leena Tikkanen, tietosuoja.asiakkuus@sok.fi


4. Registrets namn

S-gruppens ägarkunds- och kundregister


5. Ändamålet med behandlingen av personuppgifter

I registret underhålls handelslagens medlemsförteckningar, som dessa enligt lagen om andelslag ska föra. Dessutom är syftet med behandlingen av personuppgifterna i detta register produktion av S-gruppens ägarkundssystem och de därtill anknutna tjänsterna och förmånerna, skötsel av ägarkundsrelationer och andra kundrelationer med fysiska personer, marknadsföring samt planering och utveckling av S-gruppens affärsverksamhet. Med S-gruppen avses handelslagen och SOK-koncernen med dotter- och intressebolag. Uppgifterna i registret kan behandlas i sammanslutningar som vid varje tid tillhör S-gruppen och användas i marknadsföringssyfte för sammanslutningar som vid varje tid tillhör S-gruppen och samarbetspartner anknutna till ägarkundssystemet i enlighet med den allmänna dataskyddsförordningen.


6. Grund för behandlingen av personuppgifter

Personuppgifter behandlas på följande grunder:

Art. 6.1 b) Avtal Handelslagets medlemsförvaltning
Produktion av S-gruppens ägarkundssystem och till detta anknutna tjänster och förmåner samt skötsel av ägarkundsrelationer
  Till ägarkundssystemet anknuten kundkommunikation samt riktning av marknadsföring och reklam
Förverkligande av personalens rätt till rabatter
Art 6.1 a) Samtycke Elektronisk direktmarknadsföring
Skötsel av relationen till personkunder samt riktning av marknadsföring och reklam
Art 6.1 c) Rättslig förpliktelse Underhåll av handelslagets offentliga medlemsförteckning i enlighet med lagen om andelslag
Överlåtande av uppgifter till skattemyndigheten enligt skattelagstiftningen
Art. 6.1 f) Berättigat intresse Planering och utveckling av S-gruppens affärsverksamhet, såsom analyser samt opinions- och marknadsundersökningar
Överlåtelse av uppgifter mellan sammanslutningarna i S-gruppen.
Direktmarknadsföring (t.ex. profilering och riktning av reklam på webben)

 

7. Beskrivning av den personuppgiftsansvariges berättigade intresse

Den personuppgiftsansvariges berättigade intresse grundar sig på en kund- eller motsvarande relation mellan den personuppgiftsansvarige och ren registrerade. Den personuppgiftsansvarige ser till att den registrerades intressen och rättigheter har bedömts noggrant.


8. Personuppgifter som behandlas

I registret behandlas uppgifter om följande kunder:

  • ägarkunderna: personer som är eller har varit medlemmar i handelslag
  • i ägarkundshushåll ingående personer: personer som ingår eller har ingått i ägarkundshushåll, men som inte själva är medlemmar i något handelslag
  • övriga kunder: personer som inte ingår i ägarkundshushåll, men som har abonnerat på tjänster grundade på S-gruppens ägarkunds- och kundregister, såsom S-koden eller elektroniska nyhetsbrev


9. Kategorier av personuppgifter som behandlas

II registret kan man behandla till kunden anknutna, i nedanstående tabell angivna uppgifter som antingen är aktuella eller har upphört att gälla och som specificeras närmare efter tabellen:
 

 

Ägarkund

I ägarkundshushållet ingående person

Övrig kund

Personuppgifter

X

X

X

Kontaktuppgifter

X

X

X

Personaluppgifter

X

X

 

Handelslagens medlemsuppgifter

X

 

 

Faktureringspartner som beviljar Bonus

X

X

 

Uppgifter om ägarkundshushållet

X

X

 

Inbetalningskonto för förmåner

X

 

 

S-Förmånskortet

X

X

 

Identifikationer

X

X

X

Kundgrupper

X

X

x

Beställningar, i bruk tagna tjänster och data rörande användning av tjänster

X

X

X

Spärrade tjänster

X

X

 

Uppgifter om inköp, information om utbetald Bonus, Tankningsbonus och betalningssättsförmån

X

X

 

Kundens digitala fotavtryck

X

X

X

Uppgifter anknutna till handlande på webbutiker x x x

 

Personuppgifter:

  • för- och släktnamn, personbeteckning, födelsetid, kön, språk, spärrmarkering, förbud mot marknadsföring
  • kundnummer, datum för kundrelationens början och dess giltighetstid
  • förbuds- och uppdateringsuppgifterna från befolkningsregistersystemet och tjänsteleverantörer

Kontaktuppgifter:

  • fast postadress, tillfällig postadress, hemkommun, landskod, mobiltelefon, marknadsföringstillstånd till mobiltelefonen, annat telefonnummer, e-postadress, marknadsföringstillstånd till e-postadressen

Personaluppgifter

  • uppgift om anställning, uppgift om rätt till rabatt

Handelslagens medlemsuppgifter:

  • handelslag i vilket Kunden är medlem, medlemsnummer, medlemskapsstatus, datum för medlemskapets början och upphörande, verksamhetsställe där anslutning skedde
  • insatsens status, betalt insatsbelopp, datum då insatsen betaldes till fullo och betalningstransaktionerna
  • uppgifterna om räntor som betalats på andelsinsatsen, uppgift om utbetald utdelning av överskott

Faktureringspartner som beviljar Bonus

registrering hos samarbetspartner som beviljar Bonus, giltighetstid

Uppgifter om ägarkundshushållet:

  • huvudmedlem i ägarkundshushållet, personerna som tillhör samma ägarkundshushåll som huvudmedlemmen

Inbetalningskonto för förmåner:

  • numret på kontot för inbetalning av förmåner och kontots typ

S-Förmånskorten:

  • kortets nummer, korttyp, kortets giltighetstid, orsak till att kortet spärrats
  • uppgift om till vilket ägarkundshushåll bonusinköp gjorda med kortet allokeras
  • uppgift om till vilket handelslag som medlemskapet på basis av vilket kortet har beställts anknyter

Identifikationer

  • S-koden, Kundkoden

Kundgrupper:

  • kundgrupper till vilken kunden förs (t.ex. grupperingar som anknyter till användningen av digitala tjänster, huvudsakliga köpställen Sokos och Emotion och kundklasser)
  • uppgift om kundens deltagande i supportergrupper för föreningar eller andra sammanslutningar

Beställningar, ibruktagna tjänster och data rörande användning av tjänster:

  • uppgift om abonnerade/i bruk tagna tjänster (bl.a. nyhetsbrev, Ässäraati, S mobil, elektroniskt kassakvitto)
  • uppgifter om användning som identifierad av ibruktagna digitala tjänster (t.ex. webb- och mobiltjänster)
  • uppgifter som kunden matat in i tjänsten, data genererade då tjänsten använts
  • uppgifter om den personuppgiftsansvariges kontakter med kunden i syfte att vårda kundrelationen

Spärrade tjänster:

  • spärr av avsändning av Yhteishyvä/Samarbete, spärr av separata direktutskick, spärr av telefonmarknadsföring, spärr av undersökningsenkäter, spärr av garantikvitton, spärr av användningen av uppgifter om inköp på produktnivå, spärr av meddelanden per e-post

Uppgifter om inköp, information om utbetald Bonus, Tankningsbonus och betalningssättsförmån:

  • kortnumret på det S-Förmånskort eller det medlems-/kundnummer som har använts för inköp som berättigar till ägarkundsförmåner, köpdatum, klockslag, köpställe, kortets användningssätt, uppgifterna om inköpet som slutsumma på kvittot, på produktgrupps- och/eller produktnivå.
  • utbetald Bonus, Tankningsbonus och betalningssättsförmån
  • erhållna personalrabatter
  • elektroniska garantikvitton, elektroniska kvitton

Kundens digitala fotavtryck

  • uppgifter om en inloggad kunds användning av webbsidor och mobiltjänster
  • uppgifter insamlade med cookies om en kunds användning av webbsidor och mobiltjänster

Uppgifter anknutna till handlande på webbutiker

  • uppgifter om lagrade köpvagnar, uppgifter om beställning och leverans
  • kundsegment i webbutiken


10. Uppgiftskälla, beskrivning av uppgiftskällorna, om uppgifterna har samlats in från offentliga källor

Uppgifter kommer från ägarkundsavtalet som kunden har ingått samt av kunden själv under kundrelationen per telefon, via Internet, per e-post eller annat motsvarande sätt samt via användning av tjänster. Uppdateringar av namn-, adress, mobiltelefon- och dödsdata kan fås också av myndigheter och företag som säljer uppdateringstjänster. Personaldata och uppgift om rätt till rabatt fås ur S-gruppens register över anställda. Grunduppgifterna om kunden, t.ex. namn och adressuppgifter samt uppgifterna om de olika tillstånd och förbud som kunden har gett till registret, uppdateras i registret, då kunden uppdaterar dem antingen för företag i S-gruppen eller S-Banken.

Uppgifterna om S-Förmånskortets användning fås via kassasystemen hos sammanslutningar som är anknutna till S-gruppens ägarkundssystem och hos S-gruppens samarbetspartner. Dessutom kan man få uppgifter från sammanslutningar inom S-gruppen och av till ägarkundssystemet anslutna samarbetspartner i vars tjänster man loggar in med S-Förmånskortet eller med andra identifikationer som överlåtits åt kunden.


11. Mottagare av personuppgifter

SOK överlåter åt skattemyndigheten uppgifterna om den ränta på andelsinsatsen som betalts ut till en medlem i handelslaget samt till avgångna medlemmar återbetalat kapital. SOK kan överlåta uppgifter inom gränserna för vad den gällande lagstiftningen tillåter och förpliktar till, i t.ex. svar på myndigheters begäran om information. SOK överlåter uppdateringar av kundens grunduppgifter till S-Banken, om kunden också är S-Bankens kund. SOK överlåter på uppdrag av kunden uppgift om kundens ägarkundsrelation till samarbetspartner till S-gruppen som beviljar Bonus.


12. Överföring av personuppgift till tredjeland eller till internationell organisation

Vi anlitar underleverantörer vid behandlingen av persondata, och data överförs i begränsad utsträckning utanför Europeiska unionen (EU) eller det europeiska ekonomiska samarbetsområdet (EES) Tekniskt underhåll av kunduppgiftssystemen kan, med beaktande av förutsättningarna i lagstiftningen om dataskydd, via distansförbindelser också utföras utanför EU.

Kunduppgifter överförs till länder utanför EU eller EES, om detta är nödvändigt för det tekniska utförandet av behandlingen av personuppgifter. Våra servicepartner inom underhåll och teknisk support har genom relevanta avtal förbundit sig till datasäkerhetsprotokollet Privacy shield eller EU:s modellavtal.

Personuppgifter överförs inte till internationella organisationer.


13. Lagringstid för personuppgifter

Kundens uppgifter lagras endast så länge som det är nödvändigt. Personuppgifterna i registret  lagras minst den tiden som kund- och avtalsrelationen är i kraft. Föråldrad information raderas regelbundet ur registret. Uppgifterna om köp och utbetald Bonus och betalningssättsförmån samtuppgifterna om tidigare grundläggande kunddata, tillstånd, förbud och abonnemang samt ägarkundsrelationen raderas om 2 år. Uppgifterna om anknyter till medlemskap i handelslag och uppgifterna om insatsbetalningstransaktioner raderas då 6 år har förflutit från slutet av redovisningsperioden  då den sista penningtransaktionen genomfördes. Profileringsdata raderas om 2 år.


14. Den registrerades rättigheter

Kunden har följande rättigheter:

  • Rätt att få tillgång till personuppgifter
  • Rätt till rättning av uppgifter
  • Rätt till radering av uppgifter (då grunden för behandlingen är samtycke eller det inte finns någon laglig grund för lagringen)
  • Rätt till begränsning av behandling (personuppgifternas korrekthet bestrids eller behandlingen är olaglig)
  • Rätt att göra invändningar (direktmarknadsföring eller annan på berättigat intresse grundad behandling)
  • Rätt att återta samtycke
  • Rätt till överföring från ett system till ett annat (avseende automatisk behandling)
  • Rätt att bli informerad om personuppgiftsincident

Om en person vill utöva sina rättigheter eller få mer information om hur personuppgifterna behandlas, kan hen kontakta den i denna beskrivning nämnda personuppgiftsansvarige.

En person har också rätt att inge klagomål till en tillsynsmyndighet, om hen anser att man vid behandlingen av hens personuppgifter bryter mot tillämplig dataskyddslagstiftning.


15. Följderna för ett avtala att personuppgifter inte lämnas

Att man ger uppgifterna som krävs (namn, adress, personbeteckning given av folkbokföringen i Finland) för att kunna ingå ett avtal är en förutsättning för att man ska kunna ansluta sig som ägarkund och till S-gruppens ägarkundssystem. Ger man inte personuppgifterna kan man inte ingå avtalet.

Att man ger uppgifterna som krävs (namn, adress, personbeteckning given av folkbokföringen i Finland eller födelsedatum) för att kunna ingå ett avtal är en förutsättning för att man ska kunna ansluta sig till ett ägarkundshushåll och till S-gruppens ägarkundssystem. Ger man inte personuppgifterna kan man inte ingå avtalet.

En förutsättning för att man ska kunna använda tjänster som produceras på basis av uppgifter i registret är att man ger uppgifterna som krävs för att man ska kunna ingå ett tjänsteavtal. Uppgifterna som krävs för ingående av ett tjänsteavtal varierar per tjänst. Ger man inte personuppgifterna kan man inte ingå avtalet.


16. Uppgifter som är relevanta för automatiserat beslutsfattande eller profilering

Man genomför inte automatiskt beslutsfattande eller profilering som kunde ha rättsliga följder för den registrerade.


17. Verkningarna av behandlingen av personuppgifter och allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärderna

Vi skyddar personuppgifter omsorgsfullt genom hela deras livscykel genom att använda vederbörliga metoder för dataskydd och datasäkerhet. Systemleverantörerna behandlar personuppgifter i informationssäkra serverutrymmen. Åtkomsten av personuppgifter är begränsad och de anställda har sekretessplikt.

I S-gruppen skyddar vi personuppgifter bl.a. genom förebyggande riskhantering och säkerhetsplanering, med kommunikationstekniska medel och genom att använda säkra anläggningsutrymmen, passerkontroll och säkerhetssystem. De fysiska dokument som innehåller personuppgifter förvaras efter den inledande behandlingen  i låsta och brandsäkra förvaringsutrymmen. Beviljandet av användarrättigheter är kontrollerat. Vi utbildar regelbundet den personal som deltar i behandlingen av personuppgifter, och ser till att också våra samarbetspartners personal förstår personuppgifternas konfidentiella karaktär och betydelsen av säker behandling. Vi är noggranna vid valet av underleverantörerna som vi anlitar. Vi uppdaterar kontinuerligt våra interna procedurer och reglementen.

Om personuppgifter råkar i fel händer trots alla våra skyddsåtgärder, är det möjligt att en identitet stjäls eller att personuppgifter missbrukas på annat sätt. Om vi upptäcker en sådan incident, börjar vi omedelbart reda ut den och förhindra skadeverkningar. Vi informerar de vederbörliga myndigheterna och de registrerade om personuppgiftsincidenten enligt gällande lagstiftning.